Campanha usa contas comprometidas, comentários positivos, links encurtados, arquivos protegidos por senha e rotação de servidores C2 para entregar Rhadamanthys, Lumma e HijackLoader a usuários que buscam software pirata e trapaças para jogos.
| Componente | Rede de contas maliciosas no YouTube usada para promover vídeos, posts de comunidade, descrições e comentários que direcionam vítimas a arquivos maliciosos. |
| Vetor | Usuários são atraídos por vídeos de cheats, hacks de jogos e cracks de software; os links levam a serviços de arquivos ou páginas de phishing que entregam arquivos compactados protegidos por senha. |
| Impacto | Execução de infostealers, principalmente Rhadamanthys e anteriormente Lumma, com risco de exfiltração de credenciais, dados de navegador, carteiras e outras informações locais. |
| Prioridade | Bloquear download de software pirata, inspecionar execuções de instaladores e arquivos compactados vindos de serviços de compartilhamento, caçar comunicação com C2s observados e revisar contas expostas após infecção. |
| Artefatos | Adobe.Photoshop.2024.v25.1.0.120.exe, bw97v41m.exe, Remote-Vector32.exe, arquivos .rar protegidos por senha e instaladores .msi usados como estágio inicial. |
| IoCs | hxxps://94.74.164[.]157:8888/gateway/6xomjoww.1hj7n, openai-pidor-with-ai[.]com:6343, 178[.]16.53.236:6343, /gateway/pqnrojhl.adc7k, hxxps://5.252.155[.]99/gateway/r2sh55wm.a56d3, hxxps://5.252[.]155.231/gateway/3jw9q65j.b3tit. |
Uma rede coordenada de contas no YouTube vem sendo usada como infraestrutura de distribuição de malware, com mais de 3.000 vídeos maliciosos associados a ofertas falsas de cheats, hacks de jogos, cracks de software e ferramentas supostamente legítimas. A operação explora mecanismos normais da plataforma, como vídeos, descrições, posts de comunidade, comentários e curtidas, para criar aparência de confiança antes de conduzir a vítima a páginas intermediárias e serviços de hospedagem de arquivos. A atividade foi observada desde pelo menos 2021, permaneceu relativamente estável até 2024 e teve forte aumento em 2025, quando o volume de vídeos maliciosos já havia triplicado em comparação com anos anteriores.
A campanha se apoia em contas comprometidas ou criadas para operação maliciosa, distribuídas em funções distintas. Algumas contas publicam vídeos e atualizam descrições com novos links; outras publicam posts de comunidade com senha e URL de download; contas adicionais impulsionam a fraude com comentários positivos e curtidas. Esse modelo reduz dependência de uma conta única: quando um perfil é removido ou bloqueado, outro pode assumir o papel de entrega sem interromper o fluxo. O malware entregue é majoritariamente do tipo infostealer. Lumma foi predominante até sua interrupção entre março e maio de 2025, depois da qual Rhadamanthys passou a aparecer como carga preferencial em campanhas observadas.
O fluxo de infecção começa com conteúdo de alto apelo para usuários propensos a aceitar risco operacional: vídeos que prometem cracks de Adobe Photoshop, Adobe Premiere Pro, Lightroom, Filmora, FL Studio, CorelDRAW ou cheats para jogos como Roblox. A descrição do vídeo, um post de comunidade ou uma etapa mostrada no próprio vídeo fornece um link externo e uma senha para abrir o arquivo compactado. Os destinos incluem serviços como MediaFire, Dropbox e Google Drive, além de páginas em Google Sites, Blogspot e Telegraph. Em diversos casos, encurtadores de URL escondem o destino final e dificultam avaliação manual rápida antes do clique.
As instruções de instalação frequentemente orientam a vítima a desativar temporariamente o Windows Defender, criando a condição necessária para a execução sem bloqueio local. O uso de arquivos protegidos por senha impede que muitos mecanismos automatizados descompactem e analisem a carga antes do download. Também foram observados arquivos grandes, redundância em mais de uma plataforma de hospedagem e atualização frequente de amostras. Em uma campanha ligada a software de criptomoedas, um arquivo malicioso protegido por senha foi hospedado em duas plataformas diferentes, e a página intermediária em sites.google.com foi atualizada quando o operador substituiu a carga em 23 de setembro.
Em uma cadeia associada a suposto Adobe Photoshop, o arquivo baixado continha um instalador .msi. A análise da tabela CustomAction indicou execução inicial de bw97v41m.exe, posteriormente gravado em disco como Remote-Vector32.exe. A carga identificada nesse estágio foi HijackLoader, que em seguida entregou o infostealer Rhadamanthys. A comunicação C2 observada incluiu hxxps://5.252.155[.]99/gateway/r2sh55wm.a56d3; depois de atualização em 24 de setembro, a nova carga passou a comunicar com hxxps://5.252[.]155.231/gateway/3jw9q65j.b3tit. A rotação de binários e servidores em intervalos de três a quatro dias reduz a eficácia de bloqueios baseados em reputação.
A exposição principal recai sobre estáções Windows usadas por usuários que procuram software pirata, ferramentas de edição de mídia, cracks de aplicativos criativos e cheats de jogos. O público de criadores de conteúdo aparece como alvo recorrente, já que os temas observados incluem produtos de edição de imagem, vídeo e áudio. Essa segmentação aumenta a probabilidade de capturar credenciais de contas de redes sociais, canais, serviços de nuvem, contas de monetização, carteiras e navegadores configurados em máquinas pessoais ou de trabalho. Mesmo quando um executável legítimo crackeado aparece no pacote, a presença de instaladores e loaders adicionais cria um caminho de execução malicioso separado.
A rede de distribuição não depende de exploração remota de vulnerabilidade no YouTube ou no sistema operacional. A infecção exige interação do usuário, download manual, abertura de arquivo compactado com senha e execução do instalador ou executável. Essa característica desloca a detecção para controles de navegação, reputação de URL, proteção de endpoint, política de execução e monitoramento de comportamento pós-execução. Ambientes corporativos ficam expostos quando usuários usam máquinas gerenciadas para baixar conteúdo não autorizado ou quando credenciais corporativas estão salvas no navegador de um dispositivo pessoal infectado.
- Vídeos sobre
Game Hacks/Cheats, com destaque para Roblox, usados para atrair jogadores e contas pessoais de alto engajamento. - Vídeos e posts sobre
Software Cracks/Piracy, com Adobe Photoshop, Lightroom, Premiere Pro, FL Studio, Filmora e CorelDRAW como temas recorrentes. - Páginas intermediárias em Google Sites, Blogspot e Telegraph que hospedam instruções, senha do arquivo e links de download.
- Serviços de compartilhamento como Dropbox, Google Drive e MediaFire usados para armazenar arquivos
.rar, instaladores.msie executáveis.
A busca deve começar em eventos de navegação e proxy que combinem acesso ao YouTube com saída posterior para encurtadores, plataformas de publicação gratuita, serviços de compartilhamento de arquivos e downloads de arquivos compactados protegidos por senha. A cadeia costuma deixar sequência temporal clara: visualização de conteúdo, acesso a página intermediária, download de .rar ou .zip, extração local e execução de .msi ou .exe. Em endpoint, a desativação do Windows Defender, a criação de processos a partir de diretórios de usuário e a execução de binários recém-extraídos devem ser correlacionadas com tráfego de rede subsequente para portas e caminhos de C2 observados.
Em Windows, eventos de criação de processo devem priorizar instaladores .msi iniciados de Downloads, Desktop, pastas temporárias ou diretórios de extração de compactadores. A presença de nomes como bw97v41m.exe, Remote-Vector32.exe e Adobe.Photoshop.2024.v25.1.0.120.exe deve ser tratada como sinal de investigação, não como prova isolada, pois operadores podem renomear arquivos a cada atualização. A rotação de infraestrutura exige caça por comportamento: conexões HTTPS incomuns logo após execução de instalador, caminhos /gateway/ com identificadores aleatórios, processos filhos inesperados e tentativas de acessar dados de navegadores, tokens, carteiras ou armazenamentos locais.
- Acesso a
sites.google.com, Blogspot, Telegraph ou encurtadores logo após interação com vídeos de cracks, cheats ou downloads de software. - Downloads de arquivos compactados protegidos por senha a partir de Dropbox, Google Drive, MediaFire ou serviços equivalentes.
- Execução de
.msiou.exea partir de diretórios de usuário, seguida por criação de processos com nomes aleatórios ou nomes que imitam software legítimo. - Comunicação com
94.74.164[.]157:8888,openai-pidor-with-ai[.]com:6343,178[.]16.53.236:6343,5.252.155[.]99ou5.252[.]155.231usando caminhos/gateway/. - Alertas ou eventos indicando tentativa de desativar Windows Defender antes da instalação de software obtido fora de canais oficiais.
A contenção deve priorizar bloqueio de execução e redução de exposição de credenciais. Em ambientes gerenciados, controles de aplicação devem impedir instaladores e executáveis iniciados de pastas de download, diretórios temporários e arquivos extraídos de compactadores, salvo exceções aprovadas. Políticas de navegador e proxy devem bloquear categorias associadas a pirataria, cracks, cheats e encurtadores usados para ocultar destino. A inspeção de arquivos protegidos por senha deve ser tratada como risco elevado quando o download vem de serviços públicos de compartilhamento e é acompanhado de instruções para desligar proteção local.
Quando houver suspeita de execução, a resposta deve isolar o host, preservar artefatos de processo e rede, coletar histórico de downloads, verificar persistência, identificar dados acessados pelo malware e rotacionar credenciais usadas no dispositivo. Como infostealers normalmente miram credenciais salvas em navegador, tokens de sessão e dados sensíveis locais, a simples remoção do binário não encerra o risco. Contas de e-mail, redes sociais, repositórios, nuvem, carteiras, painéis administrativos e serviços corporativos usados no endpoint devem passar por revogação de sessões, troca de senhas e revisão de autenticação multifator.
A validação posterior deve combinar indicadores conhecidos com regras comportamentais. Os C2s e nomes de arquivo observados são úteis para bloqueio imediato, mas a campanha troca payloads e infraestrutura em poucos dias. Regras de detecção devem, portanto, considerar a cadeia completa: origem no YouTube, páginas intermediárias, arquivos com senha, orientação para desativar defesa, execução de instalador local e conexão de saída para caminhos de coleta. Para equipes de segurança, o controle mais efetivo é impedir o uso de software não autorizado e manter telemetria suficiente para reconstruir a sequência entre download, execução e comunicação externa.
- Bloquear categorias de cracks, pirataria e cheats em proxy, DNS seguro e ferramentas de filtragem de conteúdo.
- Aplicar controle de execução para impedir
.msie.exeiniciados deDownloads, arquivos extraídos e diretórios temporários sem aprovação. - Criar detecções para arquivos compactados protegidos por senha baixados de serviços públicos e executados logo após extração.
- Bloquear e monitorar os IoCs observados, incluindo C2s em
94.74.164[.]157,openai-pidor-with-ai[.]com,178[.]16.53.236,5.252.155[.]99e5.252[.]155.231. - Após infecção confirmada, isolar o endpoint, revogar sessões, trocar senhas e revisar contas que tinham credenciais salvas no navegador ou em aplicativos locais.
0 Comentários